Las identidades de máquina están explotando en la empresa, y muchas organizaciones luchan por seguir el ritmo.
Así se desprende del informe 2021 State of Machine Identity Management de Keyfactor, en el que se encuestó a más de 1.100 profesionales de TI y seguridad. Más de la mitad de los encuestados indicaron que sus organizaciones no saben cuántas claves y certificados tienen. Un 62% reveló que el creciente uso de claves y certificados ha aumentado significativamente la carga operativa de sus equipos. En este contexto, el 55% se mostró preocupado por el creciente riesgo de una mala configuración de claves y certificados.
¿Qué significa exactamente todo esto para los equipos de seguridad de las empresas? Es una situación que necesita corrección, y aunque las organizaciones son muy conscientes de los riesgos, muchas necesitan ayuda para encontrar el mejor camino a seguir. Para saber más sobre lo que hace falta exactamente, Keyfactor organizó un seminario web con Sean Ryan, analista sénior de seguridad y riesgos de Forrester.
Esto es lo que debe saber.
Es hora de ampliar la IAM para abordar el rápido crecimiento de la mano de obra no humana
La mayoría de los programas de gestión de identidades y accesos (IAM) se centran en la "mano de obra humana", incluidos empleados, socios y trabajadores eventuales. Las organizaciones han utilizado durante mucho tiempo la infraestructura de clave pública (PKI) para gestionar estas identidades de usuario, incluido el control de acceso, las contraseñas, la autenticación multifactor, etc.
Pero en el mundo actual, las identidades de máquina, como las cuentas de servicio, los bots y las API, se introducen cada vez con más frecuencia. Esto requiere que los equipos de seguridad reconozcan y gestionen la singularidad de esta "mano de obra no humana" del mismo modo que lo hacen con la mano de obra humana. Sin embargo, aplicar PKI y otras prácticas tradicionales de IAM al lado no humano de las cosas no es tan simple como "enjuagar y repetir".
La necesidad de este cambio se hace especialmente evidente a medida que avanzamos hacia un modelo de trabajo más dinámico. Por ejemplo, en la economía actual impulsada por las API, las cosas cambian rápidamente y las organizaciones requieren un acceso significativo de gran volumen y alta velocidad. Consideremos el caso de un equipo de DevOps en la nube que crea nuevos servicios y se conecta a diferentes microservicios mediante llamadas a API. Dado que estas llamadas a API necesitan comunicarse entre sí y acceder a información diferente, también necesitan credenciales para asegurar esas comunicaciones y accesos.
En este contexto, las empresas están viendo cómo las identidades de máquina crecen al doble de velocidad que la unicidad humana, y como siguen apareciendo por todas partes, muchas organizaciones no pueden hacerse una idea clara de cuántos certificados tienen o dónde residen. Y cuanto más compleja se hace la gestión de estas identidades de máquina, más riesgos para la seguridad y problemas operativos potenciales afrontan las organizaciones.
Por qué necesitamos un nuevo enfoque para ampliar la IAM a las identidades de máquina
Por desgracia, las prácticas tradicionales de IAM no pueden seguir el ritmo de la evolución del panorama y de las prácticas empresariales más dinámicas de hoy en día. Las prácticas básicas, como la aplicación de una filosofía de confianza cero, siguen siendo esenciales y constituyen un buen punto de partida, pero no son suficientes por sí solas.
Como resultado, los equipos de seguridad deben considerar nuevos tipos de inversiones para organizar sus prácticas de maneras más eficientes y automatizadas que pueden automatizadas que puedan seguir el rápido ritmo de las identidades automáticas.
Algunos de los retos y consideraciones clave para los equipos de seguridad son:
- Descubrir nuevas identidades: La forma en que la mayoría de las organizaciones descubren nuevas identidades de máquinas hoy en día no está centralizada. Las nuevas identidades de máquinas surgen junto con las nuevas necesidades empresariales en diferentes partes de la organización, y no existe una política de registro estandarizada. Esta situación hace casi imposible que los equipos de seguridad descubran e informen adecuadamente sobre todas las identidades en juego.
- Gestión de un mayor volumen y velocidad de claves: Las cargas de trabajo de API basadas en la nube están diseñadas para basarse en sesiones y ser muy efímeras. Por un lado, esto es bueno: es una gran medida de seguridad que los equipos deberían adoptar para otros tipos de identidades de máquinas que no se encuentran en esas plataformas en la nube. Pero, por otro lado, introduce algunos nuevos retos de gestión, como asegurarse de que las cosas no se rompan y de que los equipos puedan operar a esta alta velocidad y, al mismo tiempo, gestionar un gran volumen de identidades efímeras de forma coherente y segura.
- Reforzar las credenciales: Una y otra vez, las organizaciones adoptan credenciales débiles que están codificadas de forma rígida y son muy fáciles de descifrar. Esta situación conduce a una postura de seguridad deficiente que expone a la empresa a todo tipo de ataques fáciles de ejecutar.
- Evitar certificados estáticos de larga duración: Las organizaciones han prolongado la vida de los certificados hasta 30 años, lo que crea graves riesgos de seguridad. Esencialmente, no rotar los certificados suele crear vías más fáciles para que los atacantes no solo penetren en la organización, sino que permanezcan dentro de ella durante meses o incluso años.
3 soluciones para ampliar eficazmente la IAM a las identidades de máquina
Afortunadamente, existe una forma de que los equipos de seguridad amplíen la IAM a las identidades de máquinas de forma eficaz y tengan en cuenta la naturaleza de alto volumen y alta velocidad de la mano de obra no humana actual.
El camino a seguir gira en torno a tres soluciones fundamentales:
1) Hacer de las claves y los certificados la base de la seguridad
El cifrado tiene que convertirse en la base de la seguridad empresarial, con claves y certificados que se apliquen a cada tipo de identidad existente. Esto incluye todo tipo de certificados, claves SSH, firma de código, dispositivos IoT , etc.
Es importante destacar que la gestión de este cifrado con el volumen y la velocidad necesarios requiere una automatización integrada que proporcione una visión centralizada de las identidades altamente distribuidas. En concreto, las organizaciones necesitan un sistema orquestado que proporcione un alto nivel de visibilidad para que los administradores gestionen todas las claves y certificados en juego de forma controlada y coherente. Con este tipo de sistema, los equipos de seguridad deben identificar y solucionar los problemas rápidamente para evitar que se conviertan en problemas graves.
2) Introducir más seguridad en los accesos privilegiados
Muchas identidades de máquinas existentes hoy en día tienen un acceso realmente potente que puede utilizarse para exfiltrar grandes cantidades de datos y acceder a bases de datos con registros de clientes y propiedad intelectual.
Este nivel de acceso hace que sea esencial introducir una capa adicional de seguridad que aplique controles de acceso privilegiado a las máquinas del mismo modo que las organizaciones han hecho durante mucho tiempo con los usuarios humanos (porque hoy en día suele haber menos supervisión y control de las cuentas no humanas que de las cuentas humanas).
La aplicación de la gestión de identidades privilegiadas a las máquinas debe incluir la rotación periódica de las credenciales para protegerlas contra ataques de repetición y la seguridad de las cámaras acorazadas para proteger los secretos de RPA y IoT .
3) Gestionar el ciclo de vida completo de las identidades de las máquinas
Por último, las organizaciones deben prestar atención y gestionar todo el ciclo de vida de las identidades de máquinas, ya que elementos como los derechos de acceso y los propietarios cambian con el tiempo. Esta gestión debe entrar en detalles como qué cambia con el tiempo (por ejemplo, el acceso y los propietarios), así como quién realiza y aprueba esos cambios y por qué lo hace. Tener esta pista de auditoría en un lugar centralizado es extremadamente importante para una gobernanza sólida.
Algunas de las mejores prácticas fundamentales en este ámbito son
- aplicar los principios del mínimo privilegio para dar a las identidades de las máquinas sólo el acceso que necesitan para realizar su trabajo,
- desmantelamiento de cuentas de máquinas huérfanas que ya no se utilizan
- imponer la separación de funciones, de modo que si alguien se hace cargo de la identidad de una máquina no pueda hacer una solicitud y aprobarla al mismo tiempo.
Las empresas necesitan un enfoque ágil de IAM para toda la plantilla
Las empresas de hoy en día tienen ante sí un gran reto, ya que se crean (y se retiran) más identidades de distintos tipos a un ritmo más rápido que nunca, gracias a tendencias como las migraciones a la nube, el auge de las máquinas y el cambio a Agile y DevOps. Esta situación puede dar lugar a más puntos ciegos operativos y de seguridad si no se gestiona correctamente.
Pero hacer frente a estos retos tan dinámicos es posible, y comienza con la adopción de un enfoque ágil de la IAM para la mano de obra humana y no humana basado en los principios de:
- Acceso justo a tiempo: Hacer que las máquinas soliciten acceso y se autentiquen cada vez en lugar de permanecer conectadas.
- Acceso consciente del contexto: Comprender el contexto de por qué una máquina necesita cierto acceso.
- Privilegios justos: Dar a las máquinas sólo acceso a los sistemas y permisos que necesitan para hacer su trabajo.
- Automatización: Construir en la automatización para moverse a la velocidad necesaria para todas las identidades a lo largo de todo su ciclo de vida y para proporcionar visibilidad en ese ciclo de vida completo.
En general, el ritmo de la transformación digital significa que la mayoría de las empresas están experimentando un aumento significativo en el volumen, la velocidad y la variedad de identidades -tanto humanas como no humanas- que requieren acceso a sistemas tanto locales como en la nube. Esta tendencia no muestra signos de desaceleración y seguirá poniendo a prueba las prácticas de IAM si las organizaciones no toman medidas en consecuencia.
¿Desea obtener más información sobre lo que se necesita para lograr la agilidad de IAM con identidades automáticas? Vea nuestro seminario web completo con Forrester para conocer todos los detalles.